Pronto, investigadores de seguridad se reunirán en Cork, Irlanda, para una de las competencias de ciberseguridad más esperadas del año: Pwn2Own 2025. ¿La gran novedad de este año? Un premio impresionante de 1 millón de dólares para quien logre ejecutar un exploit de ejecución remota de código sin interacción alguna (zero-click) en WhatsApp.

Organizado por la iniciativa Zero Day Initiative (ZDI) de Trend Micro, el concurso se llevará a cabo del 21 al 24 de octubre en la oficina de la compañía en Cork. ZDI aclaró que para reclamar la recompensa millonaria, los participantes deben demostrar una vulnerabilidad zero-click, es decir, que no requiera interacción del usuario y permita la ejecución de código. Aunque habrá premios menores para otros tipos de exploits en WhatsApp, la recompensa de un millón de dólares establece un nuevo estándar en dificultad e impacto.

“Lanzamos este reto de WhatsApp el año pasado, pero nadie lo aceptó. Quizás un incentivo de un millón de dólares haga la diferencia,” comentó Dustin Childs, jefe de concienciación sobre amenazas en ZDI.

Tecnología de consumo en la mira

Pwn2Own 2025 es la segunda vez que el evento se realiza en Irlanda y está enfocado exclusivamente en dispositivos dirigidos al consumidor final. Los participantes competirán en ocho categorías:

• Teléfonos móviles
• Plataformas de mensajería
• Dispositivos SOHO (Oficina pequeña/oficina en casa)
• Tecnología para hogares inteligentes
• Almacenamiento conectado a red (NAS)
• Impresoras
• Sistemas de vigilancia
• Dispositivos wearables

Meta es el patrocinador principal este año, mientras que Synology y QNAP también contribuyen proporcionando dispositivos y apoyo para el montaje de las pruebas de seguridad.

Hackeo responsable para un mundo digital más seguro

La misión principal de Pwn2Own sigue siendo la misma: incentivar el hackeo ético premiando a los investigadores que descubren vulnerabilidades desconocidas. Todos los hallazgos se divulgan de manera responsable a los proveedores afectados para que puedan corregir los fallos. Mientras tanto, Trend Micro implementa parches virtuales para proteger a sus usuarios hasta que se lancen las soluciones oficiales.

Este año, la competencia introduce también un vector de ataque basado en USB en la categoría móvil, elevando aún más la dificultad. Los concursantes probarán sus habilidades en dispositivos de gama alta populares como el Samsung Galaxy S25, Google Pixel 9 y Apple iPhone 16.

“En 2024 pagamos más de un millón de dólares por más de 70 bugs zero-day. Estamos ansiosos por ver si en 2025 se rompe ese récord —especialmente con una recompensa tan grande en juego,” añadió Childs.

Otros dispositivos destacados incluyen routers Ubiquiti, hubs inteligentes Nest, sistemas de hogar inteligente de Amazon y Philips, cascos de realidad virtual Meta Quest y gafas inteligentes Ray-Ban.

El panorama general: por qué importan los exploits zero-click

Las vulnerabilidades zero-click son especialmente peligrosas porque no requieren ninguna acción por parte de la víctima. Esta discreción las convierte en herramientas ideales para operadores de spyware, como el grupo NSO, famoso por desplegar el malware Pegasus a través de fallas similares en aplicaciones de mensajería como WhatsApp.

Al poner estas amenazas en el centro de atención y fomentar la divulgación responsable, Pwn2Own 2025 juega un papel crucial para hacer la tecnología de consumo más segura. A medida que los dispositivos móviles se vuelven cada vez más centrales en la vida personal y profesional, identificar estos riesgos ocultos es más importante que nunca.

Fuente: https://www.infosecurity-magazine.com/news/pwn2own-1m-zeroclick-whatsapp